depuis quelques jours, j'obtiens dans mon logwatch des "possible successful probes were detected" via apache2. Voici la partie du log:
[/size][/color] [color="#2A2A2A"][size="2"]A total of 1 sites probed the server xxx.xxx.xxx.xxx A total of 3 possible successful probes were detected (the following URLs contain strings that match one or more of a listing of strings that indicate a possible exploit): //admin/index.php?_SERVER[ConfigFile]=../../../../../ ../../../proc/self/environ HTTP Response 302 //lists/admin/index.php?_SERVER[ConfigFile]=../../../../. ./../../../proc/self/environ HTTP Response 302 ///lists/admin/index.php?_SERVER[ConfigFile]=../../../../. ./../../../proc/self/environ HTTP Response 302
j'ai recherché sur le net comment contrer cela mais sans succès. J'ai tenté un RewriteCondition avec le query string , mais ça ne fonctionne toujours pas.
Ma question est: comment ce fait-il pour obtenir un code 302 - moved permanently ? comment s'en protéger ?
j'ai vu une autre solution, désactiver le fopen et le include dans php.ini, mais si je fais ça, est-ce que mes connexions socket et includes de scripts dans mes pages webs en seront infectées ?
Deuxièmement, j'ai eu une série d'adresses IP, dont une venant d'un VPS de chez OVH.
J'ai fais un ticket support technique, et ils m'ont dit d'envoyer le fichier log sur abuse_AT_ovh.com... Mais quel fichier ? Le logwatch, ou un autre se trouvant dans /var/log ? je suis perdu dans ce dossier, je ne sais pas quel fichier équivaut à quoi.
J'utilise Mysql 5, php5+apache2.
Cordialement,
Haut
